Leçons du Royaume Uni : Réformes possibles des responsabilités des banques canadiennes en matière de prévention de la fraude

Les cas de fraude continuent d’augmenter au Canada : selon de récentes données de Statistique Canada, les affaires de fraude déclarées par la police ont augmenté de 12 % entre 2022 et 2023. Cette statistique se rapporte à la fraude en général, ce qui exclut la fraude impliquant un élément spécifique d’information d’identification (à savoir, le vol d’identité et la fraude d’identité). L’un des types de fraude bancaire les plus répandus est la fraude par virement autorisé (la « fraude PPA »). Ce type de fraude survient lorsqu’un fraudeur manipule une victime afin qu’elle lui transfère de l’argent dans son compte bancaire sous un prétexte mensonger, par exemple en usurpant l’identité d’une entité de confiance ou en entretenant un lien romantique avec la victime. Les jeunes Canadiens sont beaucoup plus susceptibles que les Canadiens d’âge moyen et les Canadiens plus âgés d’avoir été victimes d’une fraude PPA, probablement du fait qu’ils utilisent davantage les plateformes de médias sociaux et les modes de paiement électronique. Les victimes de ce type de fraude ont beaucoup de difficulté à récupérer leur argent, car elles ont souvent autorisé expressément les transferts aux fraudeurs.

Le Royaume‑Uni a récemment adopté un cadre réglementaire qui transfère la responsabilité des pertes liées à la fraude PPA aux fournisseurs de services de paiement (les « FSP »), notamment en les mandatant de rembourser les victimes d’une telle fraude dans la plupart des cas. Ainsi, les FSP deviennent en quelque sorte des assureurs contre la fraude dans les cas où ils n’en sont ni les responsables ni les victimes. Le fait que l’on envisage actuellement des réformes à la Loi sur les banques du Canada, conjugué aux modifications qui ont été apportées récemment à la Loi sur la protection du consommateur du Québec, laisse présager l’adoption d’une approche similaire au Canada.

Le présent article compare le cadre de prévention et de compensation des fraudes PPA en vigueur au Royaume‑Uni à celui du Canada. Il s’intéresse également à l’examen en cours de la Loi sur les banques du Canada, à la jurisprudence canadienne récente et aux modifications apportées dernièrement à la Loi sur la protection du consommateur du Québec. Enfin, il propose des recommandations pratiques aux banques afin qu’elles se préparent à d’éventuelles réformes législatives, en tirant des leçons du Royaume‑Uni.

Cadre du Royaume‑Uni

Dans l’affaire Philipp v. Barclays Bank (l’« affaire Philipp »), la Cour suprême du Royaume‑Uni s’est penchée sur la question de savoir si les banques avaient l’obligation de protéger leurs clients de la fraude PPA. Les demandeurs, des titulaires de comptes bancaires, ont été manipulés par un fraudeur qui se faisait passer pour un organisme de réglementation des services financiers du Royaume‑Uni dans le but d’obtenir 700 000 £ en transferts des comptes de titulaires vers son propre compte bancaire. Les faits de l’affaire Philipp sont d’autant plus frappants que les demandeurs ont ignoré les avertissements d’un policier les enjoignant de ne pas faire affaire avec le fraudeur.

La Cour suprême du Royaume‑Uni a statué que la banque n’était pas responsable des pertes subies par les demandeurs et a confirmé que les banques ont l’obligation stricte d’exécuter les instructions de paiement des clients. Cette obligation ne peut être limitée que par un droit contractuel exprès de retarder ou de refuser l’exécution des instructions de paiement d’un client si la banque croit, ou a des motifs raisonnables de croire, que le client est victime d’une fraude.

Peu de temps après la décision rendue dans l’affaire Philipp, le Royaume‑Uni a adopté un cadre réglementaire qui transfère la responsabilité des pertes liées à une fraude PPA des victimes aux FSP.

La Financial Services and Markets Act 2023 (Royaume‑Uni) a modifié The Payment Services Regulations 2017 (Royaume‑Uni) afin de permettre à l’organisme de réglementation des systèmes de paiement (le « Payment Systems Regulator » ou « PSR ») d’exiger le remboursement des victimes d’une fraude PPA. Aux termes des instructions générales de remboursement du PSR, qui sont entrées en vigueur en octobre 2024, les FSP doivent rembourser les clients qui sont victimes d’une fraude PPA à hauteur de pertes pouvant atteindre 85 000 £ par réclamation, dans un délai de 5 à 35 jours ouvrables. En règle générale, les FSP d’envoi et de réception du paiement se partagent également le coût du remboursement, ce qui les incite tous deux à améliorer les mesures de détection et de prévention de la fraude.

Il existe deux exceptions à l’obligation de remboursement d’un FSP, à savoir : (i) lorsque le client a agi frauduleusement; et (ii) lorsque le client a fait preuve de négligence grave.

L’exception relative à la négligence grave s’applique lorsque le client a, par négligence grave, omis de respecter une ou plusieurs des obligations suivantes :

• Tenir compte des interventions : Les consommateurs doivent tenir compte des interventions effectuées par leur FSP ou par une autorité nationale compétente, telle que la police. Ces interventions doivent clairement indiquer que, selon l’évaluation du FSP ou de l’autorité, un paiement prévu est induit par la fraude;
• Faire rapidement un signalement au FSP : Les consommateurs doivent signaler sans délai à leur FSP qu’ils soupçonnent être ou savent qu’ils sont victimes d’une fraude PPA, au plus tard 13 mois après le dernier paiement au fraudeur;
• Communiquer l’information : Les consommateurs doivent répondre à toute demande d’information raisonnable et proportionnelle de leur FSP afin de l’aider à évaluer une demande de remboursement;
• Faire un signalement à la police : Après avoir présenté une demande de remboursement et à la demande de leur FSP, les consommateurs devraient consentir à ce que le FSP signale la fraude à la police en leur nom.

Il incombe aux FSP de prouver la négligence grave, ce qui constitue une norme expressément supérieure à la norme habituelle de Common Law en matière de négligence. Pour respecter cette norme, le FSP doit prouver que le consommateur a fait preuve d’un degré important d’insouciance, ce qui s’apparente probablement à la conduite des demandeurs dans l’affaire Philipp.

Cadre du Canada

Contrairement au Royaume‑Uni, le Canada n’a pas adopté de cadre législatif qui transfère la responsabilité des pertes liées à une fraude PPA des victimes vers les FSP. Toutefois, le cadre législatif du Canada pourrait être sur le point de changer.

Réformes possibles de la Loi sur les banques

Le ministère des Finances (le « ministère ») examine actuellement la législation sur les institutions financières fédérales du Canada, dont la Loi sur les banques. La date limite initialement prévue pour remettre cet examen était le 30 juin 2025, mais elle a été reportée d’un an, au 30 juin 2026. À moins de délais supplémentaires, l’examen devrait être terminé d’ici cette nouvelle échéance.

Le Document de consultation : Propositions visant à renforcer le secteur financier du Canada publié par le ministère (le « document de consultation »), qui a donné le coup d’envoi à la troisième phase de l’examen, laisse entrevoir la possibilité que des réformes importantes touchent les obligations et la responsabilité des banques en matière de fraude.

Dans le document de consultation, le ministère soutient qu’« il est plus important que jamais de mettre en place des mesures de protection robustes pour les consommatrices et les consommateurs ». Il constate que les banques ne retardent pas ou n’empêchent pas toujours l’exécution de transactions potentiellement frauduleuses, malgré le fait qu’elles soient particulièrement bien placées pour le faire. Il souligne également que même si les banques prennent des mesures pour protéger les consommateurs contre la fraude, les organismes de réglementation n’ont pas la capacité d’évaluer le caractère adéquat de celles-ci.

Pour répondre à ces préoccupations, le ministère a sollicité des commentaires sur plusieurs propositions, notamment les suivantes :

• Obligation d’intervenir en cas de transactions douteuses : le ministère cherche à savoir, si et dans quelles circonstances, les banques devraient être tenues d’empêcher ou de retarder l’exécution de transactions potentiellement frauduleuses ou associées à une arnaque;
• Mise en place de dispositifs de sécurité contrôlés par les clients : le ministère cherche à savoir si les banques devraient être tenues de permettre aux consommateurs de désactiver ou d’ajuster les fonctionnalités de leurs comptes permettant de prévenir la fraude, comme celle d’effectuer des virements électroniques;
• Politiques et procédures relatives à la détection réglementée de la fraude : le ministère cherche à savoir si les banques devraient être tenues de mettre en place des politiques et des procédures de détection et de prévention des fraudes qui respectent ou dépassent une norme réglementée ;
• Limitation de la responsabilité à l’égard des pertes liées à la fraude : le ministère cherche à savoir si une limite de responsabilité maximale devrait être établie de sorte que les titulaires de compte victimes de transactions non autorisées soient uniquement responsables des pertes jusqu’à concurrence de cette limite, sans égard aux moyens par lesquels on a accédé à leurs fonds. Cela signifierait que les banques seraient responsables de toute perte supérieure à la limite.

Ces propositions laissent présager une transition possible vers l’approche adoptée par le Royaume‑Uni dans ses dernières réformes.

Jurisprudence récente

Par ailleurs, la jurisprudence récente a ouvert la possibilité que les banques aient de nouvelles obligations de prévention dans le cas d’une fraude PPA, bien que nous n’ayons pas encore vu de décision sur le bien‑fondé de cette question.

Dans l’affaire Zheng v. Bank of China (Canada) Vancouver Richmond Branch (l’« affaire Zheng »), qui portait sur une fraude PPA, la Cour d’appel de la Colombie-Britannique a laissé ouverte la possibilité que les banques aient l’obligation de faire des vérifications et d’avertir leurs clients à l’égard des transactions douteuses. La cliente appelante a été manipulée par un fraudeur, qui s’est fait passer pour un fonctionnaire chinois et l’a incitée à transférer 69 000 $ CA dans un compte à Hong Kong. La cliente a poursuivi sa banque en alléguant que cette dernière n’avait pas rempli son obligation de faire des vérifications et de l’avertir à l’égard de la transaction, en partie parce que la banque était au courant d’une fraude qui avait cours dans la communauté. La Cour a accueilli l’appel de la cliente portant sur l’ordonnance de rejet sommaire, en statuant que la réclamation de la cliente soulevait une véritable question litigieuse. Aucune décision sur le fond n’a encore été rendue dans l’affaire Zheng.

Réformes proposées à la Loi sur la protection du consommateur du Québec

Ces propositions tiennent compte également de l’article 12 du projet de loi 72 qui a été adopté récemment au Québec, mais qui n’est pas encore entré en vigueur. L’article 12 ajoute deux nouvelles dispositions à la Loi sur la protection du consommateur du Québec (soit les articles 65.1 et 65.2), qui ont une incidence sur l’obligation des banques de rembourser les sommes débitées des comptes de dépôt à vue des consommateurs.

En vertu du nouvel article 65.1, un commerçant (y compris une banque) doit rembourser toute somme de plus de 50 $ CA débitée sans autorisation du compte du consommateur. Cependant, le commerçant doit rembourser tous les débits non autorisés après avoir été avisé soit de la perte ou du vol de l’instrument de paiement du consommateur (p. ex. sa carte de débit), soit de la fraude ou de l’utilisation sans autorisation du compte du consommateur. Cette obligation fait l’objet d’une exception : le commerçant n’est pas tenu d’accorder un remboursement s’il prouve que le consommateur a commis une « faute lourde » dans la protection du moyen d’utilisation de son instrument de paiement (p. ex. son NIP). La notion de « faute lourde » est bien établie en droit civil québécois et est définie comme une faute qui dénote une insouciance, une imprudence ou une négligence grossières.

En vertu du nouvel article 65.2, un commerçant doit rembourser toutes les sommes débitées avec une autorisation du compte d’un consommateur victime de fraude, comme une fraude PPA. Cette obligation fait également l’objet d’une exception. Le commerçant n’est pas tenu d’effectuer un remboursement s’il prouve qu’il a débité les sommes en l’absence d’indices probants permettant de soupçonner la fraude ou, si de tels indices existaient, après avoir pris les précautions nécessaires pour tenter de prévenir une telle fraude.

Le document de consultation, la jurisprudence récente et le projet de loi 72 mettent en lumière la tendance croissante vers l’augmentation des obligations et de la responsabilité des banques canadiennes en matière de prévention de la fraude, notamment par l’ajout d’obligations telles que celle d’empêcher ou de retarder l’exécution des transactions douteuses et celle de rembourser les victimes de fraude.

Recommandations pratiques

Il reste à voir comment le secteur bancaire canadien réagira aux changements si ceux-ci sont mis en œuvre, mais nous nous attendons à ce que les banques envisagent de mettre en œuvre les mesures pratiques suivantes : 

• Accroître l’investissement dans des systèmes perfectionnés de détection et de prévention de la fraude;
• Améliorer les politiques et les procédures existantes en matière de détection et de prévention de la fraude;
• Veiller à ce que tous les employés, en particulier le personnel de première ligne, soient formés de manière à pouvoir :
  • reconnaître les signes de fraude;
  • documenter toutes les mesures prises pour avertir les clients à propos de transactions potentiellement frauduleuses et protéger la banque contre toute responsabilité, notamment par la publication de communiqués à l’intention des clients;
  • poser des questions pertinentes aux clients et signaler toute transaction douteuse; 
• Sensibiliser de façon proactive les clients aux types de fraude courants et aux signes de fraude, y compris la fraude PPA, particulièrement lorsque des clients précis sont ciblés ou lorsqu’une fraude particulière a cours dans une communauté;
• Instaurer des systèmes d’avertissement pour les clients, comme des alertes intégrées à une application, et exiger une authentification multifactorielle ou une vérification humaine pour les transactions douteuses et à haut risque;
• Examiner et mettre à jour les contrats des clients pour :
  • préciser la répartition des pertes et de la responsabilité entre la banque et les clients en cas de fraude;
  • inclure une disposition qui permet de retarder ou d’empêcher l’exécution des instructions de paiement reçues des clients et qui semblent être frauduleuses;
• Repérer les clients à haut risque et fermer leur compte;
• Évaluer la façon de financer et de mettre en œuvre le remboursement des victimes de fraude.

Pour en savoir davantage, communiquez avec l’un des auteurs du présent bulletin ou un autre membre de notre groupe Litige et règlement des différends.